P
OSITION
P
APER
N° 24
AIFIRM
Associazione Italiana Financial Industry Risk Managers
2
AIFIRM RINGRAZIA
IL
C
OMITATO
G
UIDA
C
OORDINAMENTO
S
CIENTIFICO
Cesare Conti (Università Bocconi e Board Member)
Paola Schwizer (Università di Parma)
C
OORDINAMENTO
AIFIRM
Floricel Rugiero (Enel S.p.A)
C
OORDINAMENTO
T
ECNICO E
P
ROJECT
M
ANAGEMENT
Riccardo Bua Odetti (PwC)
Giacomo Guerrini (PwC)
I
L
G
RUPPO DI LAVORO
Cristiano Bartalena (Poste Italiane)
Filippo Bettini (Pirelli)
Stefano Capodagli (AIFIRM)
Lorenzo Cella (Pirelli)
Angelo Cortese (CDP
/CDP Equity)
Luigi de Luca (AIFIRM)
Andrea Dupont (Banca Carige)
Andrea Giacchero (AIFIRM)
Fabio Giovannini (TIM)
Jennifer Hoffman (Columbia University)
Stefano Orsini (Luxottica)
Gabriele Palandri (TIM)
Paolo Palliola (Crédit Agricole Italia S.p.A.)
Ornella Perfetti (Eni S.p.A.)
Roberto Rentocchini (Eni S.p.A.)
Alessia Ruggeri (TIM)
Carlo Zaganelli (Leonardo S.p.A)
Si ringraziano i partecipanti alla Commissione che hanno contribuito a livello personale senza alcun tipo di
adesione o avallo da parte delle Società o Enti verso i contenuti del presente position paper.
ISBN: 979-12-80245-03-8
DOI: 10.47473/2016ppa00024
3
S
OMMARIO
ABSTRACT
5
INTRODUZIONE
6
1
RISK GOVERNANCE
9
1.1 La cultura del rischio: mission, vision e core values 9
1.2 Il ruolo del Board e del Comitato Controllo Rischi 14
1.2.1 I riferimenti suggeriti dal codice di autodisciplina per le società quotate 14 1.2.2 Alcuni riferimenti e riflessioni ritraibili dal COSO Report 2017 15
1.2.3 I principi internazionali stabiliti dal G20/OCSE 17
1.2.4 L’esperienza dei board bancari: lessons to learn 18
1.3 Il ruolo di eventuali Risk Committee manageriali 23
1.4 Il Controllo di primo, secondo e terzo livello nelle corporate 26
1.5 La figura del Chief Risk Officer: necessità o opportunità? 29
1.5.1 Mission del Chief Risk Officer 29
1.5.2 Posizionamento organizzativo del Chief Risk Officer 30
1.5.3 Requisiti del Chief Risk Officer 31
2
RISK & STRATEGY
33
2.1 Il Risk Appetite Framework (RAF) 33
2.1.1 Definizione, componenti e funzioni del RAF 33
2.1.2 Il processo di determinazione del RAF 35
2.1.3 Le soglie RAF: alcuni esempi 38
2.2 Decisioni strategiche e loro declinazione nell’organizzazione aziendale 40
2.3 Classificazione dei Rischi 44
2.4 Rischi misurabili quantitativamente versus qualitativamente 46
2.5 Risk Assessement: simulazioni di rischio atteso e impatti sul piano 49
2.5.1 Analisi quantitative integrate: il Target@Risk 50
2.5.2 What If Analysis 51
APPENDICE
52
A - La tassonomia dei rischi 52
B - La tassonomia dei rischi elaborata sulla base degli Accordi di Basilea 52
RIFERIMENTI BIBLIOGRAFICI CITATI
56
4
INDICE DELLE TABELLE
58
5
A
BSTRACT
The “Corporate Risk Governance & Control” Commission, composed of risk managers, working for the top leading companies and financial institutions, many of which are publicly listed, as well as academics and board members, worked together to produce a position paper that aspires to provide principles and best practices regarding strategic risk management and risk governance.
In particular, the document provides a framework, applicable to non financial companies based on their specific profiles, that integrates the general requirements established by the standard setters (i.e. the Code of Corporate Governance for publicly listed companies, the COSO Framework 2017, ISO 31000:2018 and banking and financial sector regulations) while taking into consideration elements of differentiation, uniqueness and different organizational and managerial approaches to affront risk The document is composed of two main sections: "Risk Governance” and “Risk & Strategy". In the first section, roles and responsibilities regarding risk management are addressed, starting from the importance to diffuse a risk culture consistent with mission, vision and company values to outlining the benefits of adequate organizational principals and governance. Once clarifying the difference between the first, second and third level of defense, the section concludes with a detailed analysis dedicated to the role of the Chief Risk Officer, in which the requirements of professionalism and independence are underlined as well as the key role played in the consolidation of a holistic view of the risk profile within the organization. In the second section of the position paper, ample space is dedicated to the Risk Appetite Framework, a fundamental tool to connect the business strategy and punctual risk quantification. The objective is to offer guidelines to define the risk appetite within a company. The final section of the paper proposes some suggestions for risk classification considering a portfolio view, as well as ulterior reflections regarding risk quantification, highlighting also some of the principle approaches to targeted evaluations and the drafting of a strategic plan pondered around risk.
Obiettivo della Commissione “Corporate Risk Governance & Control”, composta da risk manager
operanti in aziende corporate e realtà finanziarie italiane di primaria rilevanza, prevalentemente quotate, accademici e consiglieri di amministrazione, è stato lo sviluppo di un position paper che aspira a delineare principi e best practice in tema di gestione strategica e governance dei rischi.
In particolare è stato sviluppato un framework, applicabile alle aziende non finanziarie in base ai rispettivi profili di specificità, che integra i requisiti generali stabiliti dagli standard setter di settore (i.e. Codice di Corporate Governance per le società quotate, COSO Framework 2017, ISO 31000:2018 e normative per il settore bancario e finanziario), considerando i potenziali elementi di differenziazione, le specificità e i differenti approcci organizzativi e gestionali dei rischi a cui le stesse possono essere esposte.
Il risultato è un documento articolato in due macro-sezioni. Nella prima, “Risk Governance e Risk & Strategy”, si affrontano i temi legati a ruoli e responsabilità in tema di gestione e controllo del rischio, muovendo dall’importanza della diffusione di una cultura del rischio coerente con mission, vision e valori di fondo dell’azienda, e delineando i benefici di adeguati presidi organizzativi e di governance. Dopo aver chiarito la differenza tra i controlli di primo, secondo e terzo livello, la sezione si conclude con un approfondimento dedicato alla figura del Chief Risk Officer, di cui si evidenziano i requisiti di professionalità e indipendenza e il ruolo centrale per il consolidamento della visione complessiva del profilo di rischio dell’azienda. Nella seconda parte del paper, ampio spazio è dedicato al Risk Appetite Framework, strumento fondamentale per il raccordo tra la strategia aziendale e la quantificazione puntuale dei rischi ad essa sottesi. L’obiettivo è quello di fornire linee guida per la definizione della propensione al rischio dell’azienda. Una sezione operativa finale propone alcuni spunti per la classificazione dei rischi in una logica di portafoglio, nonché ulteriori riflessioni circa il grado di misurabilità degli stessi, passando in rassegna alcuni dei principali approcci di valutazione mirati alla stesura di un piano strategico aziendale ponderato per il rischio.
6
I
NTRODUZIONE
Il paper si propone di rappresentare le linee guida per la gestione ed il controllo dei rischi nelle imprese non finanziarie, soprattutto (ma non solo) quotate, anche mutuando dalle prassi già consolidate degli intermediari finanziari.
In particolare, nella prima parte sono individuati i driver per un’efficace governance dei rischi, non solo con riferimento ai requisiti regolatori per le società quotate. Un’efficace risk governance è infatti fondata sull’attivazione di idonei presidi organizzativi, sull’applicazione di modelli di riporto tempestivo agli Organi di controllo e gestione, sulla chiara identificazione di mission, ruoli e responsabilità per salvaguardare il raggiungimento degli obiettivi di performance e la loro sostenibilità nel tempo. In tale contesto, la definizione degli obiettivi di performance non può prescindere dall’analisi dei rischi connessi alla stessa attività di impresa e all’attuazione delle strategie; pertanto, come si rappresenterà nella seconda parte del paper, saranno identificate le fasi logiche di un processo valutativo (o di quantificazione) dei rischi di piano (industriale) che si fonda sull’individuazione dei fattori abilitanti dello stesso, della quantificazione - ove possibile - dei rischi connessi alla strategia definita e dell’impatto potenziale sui risultati di business rappresentati nel Piano strategico.
In La cultura del Rischio: mission, vision e corevalues sono definiti la Risk Culture e individuati alcuni strumenti utili alla sua diffusione dai livelli apicali di gestione e controllo (Board, Consiglio di Amministrazione, Comitato Controllo e Rischi) alle aree di business. La presenza di una diffusa cultura del rischio in azienda, dal vertice alle strutture di business, è infatti una condizione necessaria, anche se non sufficiente, ad abilitare i processi di gestione e controllo del rischio e a garantirne un ruolo non solo di compliance ma di efficace supporto alla salvaguardia del business.
Successivamente si delinea il ruolo del Board e del Comitato controllo e rischi, non solo in termini
di “compiti” formali attributi dalla normativa di riferimento, ma anche traendo ispirazione dal modello di gestione dei rischi tipico del mondo delle istituzioni finanziarie spinto da un approccio rigoroso e sistematico, rappresentando gli elementi informativi necessari a una maggiore consapevolezza nell’assunzione delle decisioni strategiche.
A seguire è definito il ruolo di eventuali Risk Committees manageriali che, seppur non richiesti
dalla regolamentazione in materia, in diverse realtà costituiscono il canale di trasmissione tra le scelte degli Organi deputati alle decisioni strategiche e le unità di business, per il tramite delle Funzioni o Unità di Gestione e Controllo dei rischi, e con ruolo di diffusione della Risk culture secondo un approccio integrato.
Anche laddove ci siano meccanismi di coordinamento fluidi, una struttura di governance dei rischi efficace deve essere fondata su tre pilastri ben distinti: Il controllo di primo, secondo e terzo
livello nelle corporate. Nel paragrafo dedicato sono pertanto individuati i requisiti affinché siano
stabilite tre linee di difesa indipendenti, ma complementari e non antitetiche o ridondanti. Il controllo di primo livello, effettuato da unità organizzative allocate nelle aree di business, è diretto ad assicurare il corretto svolgimento delle operazioni, inclusa la realizzazione delle azioni operative per l’efficace mitigazione dei rischi. Il controllo di secondo livello - o controllo sulla gestione dei rischi – deve essere affidato a unità diverse da quelle operative, con la responsabilità della validazione dei rischi identificati, della definizione di politiche e metodologie volte a misurarli e controllarli, assicurando il rispetto delle norme interne ed esterne e dei regolamenti. I controlli di terzo livello - internal audit - sono finalizzati alla valutazione e verifica periodica della completezza, adeguatezza, funzionalità e affidabilità dei processi aziendali e del sistema dei controlli interni. L'attività è condotta da strutture diverse da quelle operative e di controllo di secondo livello.
Alla luce dei principi di Risk Governance d’impresa, sempre più spesso il responsabile della funzione (o unità) di risk management, dove esistente, prende la denominazione di Chief Risk Officer, o più brevemente CRO. Il CRO, non gestisce i rischi aziendali, ma governa il processo di analisi e gestione dei rischi che ricade sotto la responsabilità dei risk owner, favorisce il dialogo, guida i colleghi a livello metodologico, integra le informazioni provenienti dalle diverse funzioni in modo da consolidare una visione complessiva del profilo di rischio dell’impresa a supporto della definizione delle strategie. Il paragrafo focalizza quindi il ruolo del CRO evidenziandone la propria funzione a supporto della
7
complessiva governance d’impresa, i modelli di riporto possibili per la funzione rappresentando i pro e i contro di ogni impostazione, distinguendo, infine, le differenti prerogative e responsabilità della funzione (o unità) di Compliance.
Dopo aver delineato i requisiti principali della Risk Governance di best practice, nella seconda Parte sono identificate le linee guida affinché la valutazione dei rischi e le attività di controllo di secondo livello possano adeguatamente supportare il processo decisionale della strategia di impresa.
Lo strumento per l’attuazione di quanto sopra, è rappresentato dal “Risk appetite framework” –
“RAF” (sistema degli obiettivi di rischio), requisito regolatorio introdotto già dal 2013 per gli
intermediari vigilati, che rappresenta la visione “top-down” del vertice aziendale, coerente con la strategia di lungo periodo, del rischio (natura e quantum) che si intende assumere, ottimizzandolo sulla frontiera efficiente rischio-rendimento, e di quello che si intende evitare. Nel paragrafo dedicato, partendo dall’assunto che non esiste un approccio standard alla definizione della propensione al rischio e che spetta – tendenzialmente, almeno nelle istituzioni finanziarie - al CdA approvarla e al management
applicarla e darne adeguata comunicazione ai vari livelli dell’azienda, sono descritte linee guida per la definizione di un modello di Risk Appetite che da un lato richiede - e nel contempo produce - il rafforzamento di una cultura del rischio all’interno della società attraverso un approccio strutturato, dall’altro incorpora gli obiettivi del Vertice, in termini di business e di rischio, e le aspettative dei principali stakeholder.In tale ambito saranno forniti cenni anche ai concetti di Risk Appetite Statement,
Risk Tolerance e Risk Capacity.
Il processo decisionale di definizione ed approvazione della strategia, tradizionalmente separato dall’assessment e monitoraggio dei rischi, secondo la best practices dovrebbe, ove possibile, essere rafforzato con una puntuale identificazione e quantificazione (o almeno valutazione) dei rischi ad essa sottesi. In un contesto di volatilità dei mercati, di manifestazione di nuovi rischi emergenti fino ad oggi non misurati (almeno non sistematicamente), di accresciuta incertezza del contesto interno ed esterno all’impresa, la fase di definizione dei driver di piano nonché della definizione ex ante di soglie o limiti di rischio da allocare ai risk owner, risulta fondamentale. Nel paragrafo Decisioni strategiche e loro
declinazione nell’organizzazione aziendale sono pertanto delineate le linee guida metodologiche
per la definizione di risk factors che, alla base della declinazione del piano strategico, consentono (o minano) il raggiungimento dei target economici e finanziari nello stesso dichiarati. Dopodiché viene definito un possibile processo di allocazione di limiti di rischio (ex ante) ai diversi fattori di rischio, il relativo monitoraggio, gli step per un’efficace gestione degli sconfinamenti di soglie o limiti (con il coinvolgimento anche dei Comitati manageriali o degli Organi formali). Il processo di allocazione di limiti di rischio e di monitoraggio degli stessi – per una sana e prudente, ed anche efficace, gestione – deve necessariamente prevedere step definiti formalmente in documentazione organizzativa interna (linee guida, disposizioni, policies, procedure, coerentemente con gli standard organizzativi della corporate), affinché se ne garantisca l’attuazione e si assicuri il coinvolgimento degli Organi deputati alla definizione della strategia con la consapevolezza anche dei rischi connessi.
Successivamente, si propongono alcuni spunti per una possibile Classificazione dei rischi che dovrebbe supportare, con una logica di portafoglio, la valutazione del profilo di rischio dell’organizzazione nel suo complesso, favorendo l’identificazione delle principali tipologie di rischio e considerando l’eventuale loro interrelazione; non esistendo un approccio one fits all, sarà necessario modellare la proposta di classificazione a seconda del settore industriale, della tipologia di business e della grandezza e complessità dell’organizzazione.
Una volta individuati e classificati i rischi, ulteriori riflessioni possono essere fatte in relazione al loro grado di misurabilità - Rischi valutabili quantitativamente versus qualitativamente. Una analisi di tipo quantitativo presuppone l’esistenza di dati storici (e robusti) per la modellizzazione e la definizione di scenari probabilistici attesi che, soprattutto nel caso dei rischi emergenti – non sempre è disponibile. Le “what if analysis”/“scenario analysis” (anziché l’implementazione di modelli probabilistici – stocastici) possono comunque trovare applicazione per fornire valutazioni sulla probabile realizzazione dei target finanziari ed economici dichiarati; nondimeno la quantificazione dei rischi consente di misurare l’impatto economico e/o finanziario sugli obiettivi di Piano strategico (Capitale, EBIT, EBITDA, etc.). Prevedere quindi una fase di Risk assessment con simulazioni di rischio atteso e impatti sul Piano consente di definire target di Piano differenziati in relazione ai diversi scenari di rischio e di dichiarare obiettivi effettivamente raggiungibili, prevedendo tempestivamente le necessarie azioni di
8
mitigazione, in caso di manifestazione, garantendo la sostenibilità nel tempo dei target dichiarati e dell’impresa nel suo complesso.
9
1 R
ISK
G
OVERNANCE
1.1 La cultura del rischio: mission, vision e core values
Il rischio è parte integrante del business di qualunque impresa. Esso è generato dalla variabilità di fattori interni ed esterni, la cui comprensione è necessaria per un efficace ed efficiente esercizio delle attività di impresa. Buone pratiche di risk management e, più in generale, processi di governo del rischio ben definiti contribuiscono a una gestione aziendale sana e prudente. A tal fine, il management, responsabile della gestione e del controllo del rischio, ha anche il ruolo di garantire una comunicazione fluida e aperta in tema di rischi a tutti i livelli aziendali, sia verso gli organi societari sia verso le aree di
business, ed esternamente nei confronti degli stakeholder rilevanti. Tali flussi informativi sono da considerarsi parte integrante del processo di gestione, monitoraggio, misurazione e controllo dei rischi. La cultura del rischio è parte della cultura organizzativa di ogni realtà aziendale, ma assume particolare rilevanza perché determina il modo in cui una determinata impresa valuta e gestisce i rischi che possono compromettere il raggiungimento degli obiettivi strategici. Se la cultura organizzativa, intesa nel senso più ampio, come insieme di valori condivisi e convinzioni di fondo che influenzano il comportamento e l’atteggiamento degli individui nel proprio ambiente professionale, assume grande importanza ai fini del processo di creazione del valore all’interno di un’impresa, ancor più una cultura che favorisce un'efficace gestione del rischio può incoraggiare la comunicazione, la condivisione delle conoscenze e delle migliori pratiche, il miglioramento continuo dei processi e un forte impegno nei confronti di comportamenti aziendali etici e responsabili in tema di assunzione di rischi. In generale, una cultura sana e coerente con la formula imprenditoriale scelta da un'azienda può contribuire in modo significativo a migliorare le prestazioni aziendali. Ciò richiede tuttavia che le persone interpretino tale cultura, comportandosi in conformità con i valori dell'azienda e declinando, nei propri comportamenti, la sua stessa identità. I valori costituiscono il fondamento della cultura di un’azienda. Per valori d'impresa (values o core values) si intendono genericamente i principi cardine che ispirano e condizionano il modo di agire dell’azienda e dei suoi dipendenti, nel rispetto della vision e della mission dichiarate; si tratta cioè di un sistema di idee, modi di agire e attributi considerati “importanti” e quindi tali da informare l'azione dell'impresa. Molte realtà aziendali li diffondono anche attraverso la Dichiarazione dei Valori (o Value Statement), un documento formale che esprime il sistema di valori propri della società, quali ad esempio la qualità, la responsabilità, l’equità, l’etica, la collaborazione, l’efficienza, etc.
Mission e vision sono elementi fondamentali per identificare e rappresentare l’identità di un’azienda. Servono a comunicare l’obiettivo che essa intende raggiungere e i traguardi prefissati. La mission
descrive l’obiettivo aziendale, da intendersi anche come la motivazione che ha portato alla costituzione dell’azienda; la vision esprime una situazione tendenziale e rappresenta l’ideale al quale l’impresa mira. Missione, visione e valori fondamentali definiscono quindi ciò che un'azienda si impegna ad essere e come intende condurre gli affari, e comunicano a tutti gli stakeholder lo scopo dell'impresa. Per la maggior parte delle realtà, missione, visione e valori fondamentali rimangono stabili nel tempo e, attraverso l'impostazione della strategia, vengono tipicamente riaffermati. Tuttavia, essi possono anche evolvere al mutare delle condizioni di contesto e delle aspettative dei diversi stakeholder.
Il framework del COSO (Committee of Sponsoring Organizations of the Treadway Commission) pubblicato nel 2017, trattando del ruolo che la gestione del rischio assume nella scelta della strategia e del rapporto tra queste due dimensioni, specifica che la prima può aiutare un’impresa a comprendere meglio come mission, vision e core values costituiscano l'espressione iniziale di quali tipologie e livelli di rischio siano accettabili per realizzare una determinata strategia.
Questi aspetti devono sempre essere tenuti in considerazione, quando si analizza una strategia. La strategia deve supportare la missione e la visione dell'impresa. Una strategia disallineata aumenta la possibilità che l'organizzazione non riesca a realizzare la propria mission e vision, o possa compromettere i propri core values, anche se la strategia stessa viene attuata con successo.
Tutto ciò rappresenta l’alveo in cui confluisce e si alimenta la risk culture: le organizzazioni aziendali che riflettono nei propri comportamenti sia principi di integrità sia, più generale, valori etici e una gestione consapevole del rischio, sono quelle che hanno una cultura del rischio sana e forte, la cui
10
pervasività ed effettività può determinare il destino dell’impresa. Definire e promuovere un'efficace cultura del rischio rappresentano dunque responsabilità importanti del top management e del board. Le imprese dotate di una cultura del rischio efficace sono quelle in cui è diffusa a tutti i livelli la consapevolezza dei rischi associati alla strategia e all’ambiente in cui si opera, e in cui i rischi assunti sono sempre coerenti con la propensione al rischio deliberata dal vertice aziendale.
In letteratura sono disponibili varie definizioni di risk culture. Il rapporto dell'Institute International of Finance 2009 "Riforma nel settore dei servizi finanziari: rafforzare le pratiche per un sistema più stabile", ad esempio, definisce la cultura del rischio come “le norme di comportamento per individui e gruppi all'interno di un'organizzazione che determinano la capacità collettiva di identificare e comprendere, discutere apertamente e agire sul rischio attuale e futuro delle organizzazioni”. Sembra tuttavia più in linea con il nostro approccio la definizione proposta da una ricerca condotta nel 2014 dalla Risk Management Association e Protiviti, secondo la quale la cultura del rischio è “l'insieme di comportamenti, discussioni, decisioni e atteggiamenti incoraggiati e accettabili nei confronti dell'assunzione e della gestione del rischio all'interno di un'istituzione”. La risk culture è quindi il fattore che lega tutti gli elementi del sistema di gestione del rischio, poiché riflette i valori, gli obiettivi, le pratiche e i meccanismi condivisi che incorporano il rischio nei processi decisionali di un'organizzazione e la gestione del rischio nei suoi processi operativi.
Il Financial Stability Board, nel suo documento del 2014 “Guidance on Supervisory Interaction with Financial Institutions on Risk Culture - A Framework for Assessing Risk Culture”, ribadisce che una solida cultura del rischio dovrebbe sottolineare in tutta l'azienda l'importanza di garantire che:
I. un adeguato equilibrio rischio-rendimento coerente con la propensione al rischio dell'ente sia raggiunto quando si assumono rischi;
II. un sistema efficace di controlli commisurato alle dimensioni e alla complessità dell'entità sia messo in atto correttamente;
III. la qualità dei modelli di rischio, l'accuratezza dei dati, la capacità degli strumenti disponibili per misurare accuratamente i rischi e le motivazioni per l'assunzione di rischi possano essere messe in discussione;
IV. tutte le violazioni dei limiti, le deviazioni dalle politiche stabilite e gli incidenti operativi siano attentamente seguiti da azioni disciplinari proporzionate, quando necessario.
Il citato documento del Financial Stability Board riporta inoltre gli indicatori per valutare la solidità della cultura del rischio. Riconoscendo che la valutazione della cultura del rischio è complessa ma confermando che, data la sua importanza, è un aspetto a cui bisogna prestare attenzione, il FSB elenca diversi indicatori che possono essere rappresentativi di una solida cultura del rischio, specificando che essi dovrebbero essere considerati collettivamente, rafforzandosi a vicenda; esaminando ciascun indicatore isolatamente si potrebbe rischiare di ignorare la natura multiforme della cultura del rischio. I macro-indicatori proposti dal FSB sono i seguenti quattro:
Tone from the top: Il Board ed il Senior Management definiscono i valori chiave aziendali e le attese in termini di cultura del rischio e, per primi, sono chiamati a riflettere tali valori nei loro comportamenti. Valori chiave sono l’aspettativa che il personale operi con integrità e riferisca tempestivamente problematiche di non-compliance osservate all’interno ed all’esterno dell’organizzazione. Il governo dell’organizzazione promuove, monitora e valuta la cultura del rischio; considera l’impatto della cultura sulla sicurezza ed integrità; interviene dove necessario apportando cambiamenti.
Responsabilità (accountability): Il personale rilevante a tutti i livelli dell’organizzazione comprende i valori chiave dell’azienda ed il suo approccio al rischio, è in grado di esercitare il ruolo assegnato ed è consapevole di essere responsabile (accountable) delle proprie azioni in relazione al comportamento da tenere in casi di risk taking. L’accettazione da parte dello staff degli obiettivi in termini di rischio e dei connessi valori è essenziale.
11
Comunicazione e challenge efficaci: Una adeguata cultura del rischio promuove un ambiente di aperta comunicazione ed efficace confronto in cui i processi decisionali incoraggiano l’espressione delle diverse opinioni; permette la verifica delle prassi correnti; stimola una attitudine positiva e critica nel personale; promuove un ambiente di coinvolgimento positivo e costruttivo.
Incentivi: La gestione delle prestazioni e dei talenti incoraggia e rafforza il mantenimento del comportamento desiderato di risk management dell’istituzione. Incentivi finanziari e non supportano i valori chiave e la cultura del rischio a tutti i livelli dell’organizzazione.
Lo stesso documento del Financial Stability Board riporta anche alcune indicazioni più specifiche in merito alle modalità con cui allineare risk culture e strategia. In particolare, nell’ambito degli indicatori della categoria “Tone from the Top”, si sottolinea l’importanza dei seguenti fattori:
occorre prevedere processi e meccanismi adeguati a garantire che la propensione al rischio, la strategia di gestione del rischio e la strategia aziendale siano effettivamente allineate e integrate nei processi decisionali e nelle operazioni a tutti i livelli dell'ente;
il consiglio di amministrazione e il senior management devono avere punti di vista chiari sulle linee di business che pongono le principali sfide nella gestione del rischio, come linee di business con risultati inattesi o inspiegabili o linee di business con rischi non finanziari che potrebbero non prestarsi a una quantificazione immediata e semplice;
il consiglio di amministrazione e l'alta dirigenza devono monitorare sistematicamente il modo con cui la direzione affronta prontamente ed efficacemente le questioni sollevate dal consiglio di amministrazione, dalle autorità di vigilanza e da tutte le funzioni aziendali di controllo.
Il framework del COSO, tra le cinque componenti interrelate che definiscono un sistema di Enterprise Risk Management solido, efficace e coerente, individua come primo aspetto ed elemento portante la “Risk Governance & Culture”. In particolare, la governance, intesa come approccio complessivo dell’organizzazione al rischio, definisce l’impostazione dell’organizzazione stessa e garantisce, attraverso la definizione di strutture, responsabilità e sistemi di supervisione, l’equilibrio di tutti gli interessi coinvolti nel sistema azienda e nei confronti dei portatori d’interesse (secondo un sistema di pesi – gestione – e contrappesi – controllo). D’altronde una piena percezione e valutazione della combinazione rischio/rendimento, e il suo corretto bilanciamento, garantiscono la consapevolezza dei rischi assunti e potenzialmente assumibili in base alla strategia delineata. La cultura del rischio, come finora intesa, rappresenta la base della sostenibilità degli obiettivi di impresa, oltre che del mantenimento di valori etici, integrità, trasparenza e accountability; la cultura del rischio va quindi interpretata come qualcosa di intrinseco all’impresa, che fa parte del suo DNA e rappresenta il principale strumento per tutelarlo. La diffusione della cultura del rischio all’interno dell’impresa assume grande importanza per garantire la consapevolezza dei rischi assunti e generati dall’operatività da parte dei risk owners (responsabili di aree in cui sorgono, risiedono i rischi e sono messe in pratica le relative azioni di mitigazione), risk managers (responsabili di funzioni o attività di controllo ex ante ed ex post del rischio) e organi aziendali. I primi, se consapevoli dei rischi possono intraprendere eventuali azioni di mitigazione o supportare la gestione del rischio stesso. I risk managers sono per loro natura i principali detentori delle metodologie di misurazione e delle informazioni sui rischi che essi devono rappresentare al top management e agli organi aziendali secondo requisiti di tempestività, completezza e precisione.
La diffusione della risk culture è pertanto un motore fondamentale per l'assunzione consapevole dei rischi e per la loro gestione, nonché per il processo di definizione delle scelte strategiche. E tale assunto è anche alla base degli standard internazionali in tema di risk management.
La risk culture dell’impresa deve essere quindi valutata, monitorata, gestita e diffusa.
La misurazione e la valutazione della cultura del rischio possono essere svolte sulla base di metodologie qualitative e/o quantitative, a seconda degli indicatori prescelti e della disponibilità e comparabilità dei dati e delle informazioni. Un esempio articolato di sistema di indicatori, coerente con l’impostazione
12
dell’FSB, è presentato nel paper “La cultura del rischio”, pubblicato nel 2016 dall’Associazione Italiana Internal Auditors.
Quanto agli strumenti di gestione e diffusione, si rileva innanzitutto l’importanza della condivisione e della tempestiva circolarizzazione delle informazioni in tema di rischi all’interno dell’organizzazione. Il sistema di reporting è un elemento necessario e strumentale alla diffusione della cultura del rischio dell’impresa a tutti i livelli aziendali: operativo di dettaglio per le aree di business e manageriale sinottico per il top management e gli organi aziendali. Esso rappresenta sia il presupposto per l’assunzione di decisioni consapevoli da parte del board e del management, sia uno strumento utile alla disclosure sui rischi. Un ulteriore strumento di diffusione della cultura del rischio è l’informativa sui rischi attraverso canali non necessariamente strutturati o codificati (mail, riunioni, workshop, etc.).
Sono auspicabili anche altri canali informativi di tipo “soft”, una tantum o predefiniti, quali ad esempio
newsletter, sessioni di training, academies, incontri periodici per la condivisione di aspetti specifici monotematici (i.e. su modeling, governance, classi di rischio specifiche) soprattutto tra soggetti interni all’impresa, prevedendo eventualmente anche la partecipazione attiva di soggetti esterni (accademici, specialisti e professionals di peers, etc.).
La diffusione della cultura del rischio, tuttavia, non deve per forza presentare caratteristiche di metodicità o aspetti di natura organizzativa; di fatto può configurarsi più come una filosofia gestionale, che consente di parlare di rischio in azienda esattamente come si parla di business. E di fronte a un qualsiasi business e ai rischi ad esso connessi, si presenta sempre una necessaria valutazione di opportunità, che può portare a considerare la rischiosità come una dimensione non esclusivamente negativa.
Un’impresa che presenta una cultura di rischio forte e ben radicata mette naturalmente a disposizione del personale strumenti, informazioni e dati, al fine di minimizzare il rischio o di assumerlo in maniera ottimale (ovvero in relazione al rendimento/perdite potenziali o ai costi di investimento per minimizzarlo). Di seguito vengono elencate alcune azioni di natura pragmatica per poter creare o rafforzare la cultura del rischio in ogni impresa:
effettuare formazione che spieghi che cos’è il rischio di business e qual è la sua importanza (utilizzando, ad esempio, dei case study sul rischio reputazionale che presentino una mancata gestione del rischio o come d’altra parte una scarsa propensione al rischio possa portare anche al fallimento di un’impresa);
creare la funzione di Risk Management, ponendola in una posizione apicale in azienda, attribuendo alla funzione una forte sponsorship da parte degli stakeholder;
implementare un processo di gestione dei rischi diffuso con ruoli definiti per le unità interessate ai vari livelli di impresa (legal entity, Paese, commessa/progetto, linea di
business);
riconoscere e premiare un’efficace gestione del rischio, intesa anche come comportamento proattivo verso questa dimensione;
riconoscere e stigmatizzare la cattiva gestione del rischio;
sensibilizzare il board sui rischi di impresa, attraverso induction o strumenti similari, creare e diffondere un Risk Appetite Statement che indichi non solo la propensione ma
anche la tolleranza al rischio, identificando gli strumenti di misurare e monitoraggio. Un ultimo aspetto riguarda gli strumenti di cambiamento o di miglioramento della risk culture di un’impresa. Una volta completata una valutazione iniziale della cultura del rischio presente in azienda, infatti, il top management dovrebbe prendere in considerazione l'eventuale necessità di apportare modifiche organizzative e adottare misure per attuare tali modifiche secondo gli eventuali indirizzi del
board. Per creare la cultura del rischio desiderata, la direzione dovrebbe cercare di:
rendere conveniente l’incorporazione della cultura del rischio desiderata nei comportamenti organizzativi. Le responsabilità e i comportamenti desiderati per la gestione del rischio
13
dovrebbero essere rafforzati attraverso policies, sistemi di limiti, procedure di escalation, sistemi di incentivazione;
rappresentare direttamente, mediante l’esempio, la cultura del rischio come una priorità: gli esecutivi dovrebbero supportare la cultura del rischio desiderata mostrando personalmente i comportamenti desiderati attraverso azioni e decisioni, nonché comunicando periodicamente il valore fornito dalla cultura del rischio all'organizzazione;
adottare un approccio integrato: se isolate, comunicazioni periodiche, campagne di sensibilizzazione e strategie di formazione rischiano di restare “sulla carta”. Se inserite in un programma completo che allinea aspettative, prestazioni, ruoli e strutture retributive con un'adeguata assunzione dei rischi, esse rafforzano gli aspetti critici della cultura del rischio desiderata;
valutare periodicamente i progressi e monitorare il comportamento dei dipendenti per nuove tendenze, attitudini o percezioni che richiedono attenzione. A questo fine, possono essere usate misure quantitative e qualitative di una cultura del rischio efficace utilizzando indicatori come:
- Livello di sponsorizzazione da parte del management esecutivo
- Livello di padronanza nella gestione del rischio da parte delle business lines - Efficacia del comitato rischi e dei processi di governance
- Qualità delle discussioni nel board su questioni di rischio
- Utilizzo della dichiarazione di risk appetite e risk tolerance nel processo decisionale - Allineamento e integrazione del rischio nella pianificazione strategica
prestare attenzione ai segni di cambiamento. I sondaggi tra i dipendenti e i focus group
sono esempi di strumenti che possono fornire spunti ai fini della valutazione della cultura del rischio. Occorre altresì considerare gli effetti dei cambiamenti nella strategia e nell'organizzazione nonché il verificarsi di eventi esterni, compresi gli sviluppi normativi, per valutare se essi richiedano nuovi interventi volti a rafforzare o far evolvere la cultura del rischio.
In sintesi, la cultura del rischio rappresenta una fondamentale leva di gestione per qualunque impresa e un elemento determinante del sistema di ERM: occorre sempre ricordare che senza rischio non c’è rendimento e senza redditività non c’è impresa. La risk culture diventa dunque un fattore capace di orientare i comportamenti dell’organizzazione secondo una logica ben precisa, e finalizzata a far funzionare realmente il sistema di gestione dei rischi, a supporto delle strategie e quindi del conseguimento e di un valore sostenibile e duraturo nel tempo.
14
1.2 Il ruolo del Board e del Comitato Controllo Rischi
1.2.1 I riferimenti suggeriti dal codice di autodisciplina per le società quotate
Il processo di gestione dei rischi aziendali può essere analizzato da diversi punti di vista, tanto all’interno quanto all’esterno dell’impresa. Ciascun punto di vista si caratterizza per finalità, metodi e persino linguaggi differenti.
Dentro l’impresa, un punto di vista che assume particolare rilievo è quello del board e, in particolare, del comitato controllo interno e gestione dei rischi (CIeGR). Peraltro, pure in seno al board e al CIeGR vi possono essere punti di vista che sottendono obiettivi fisiologicamente diversi, ad esempio tra consiglieri esecutivi vs non esecutivi, indipendenti vs non indipendenti, espressione degli azionisti di minoranza vs di maggioranza.
Per orientare e indirizzare il comportamento del board e del CIeGR è consuetudine fare riferimento alle best practice esistenti. Nel contesto italiano, la principale best practice è identificabile nel codice di autodisciplina per le società quotate, redatto e via via aggiornato dal Comitato per la Corporate Governance costituito per iniziativa della Borsa Italiana. L’ultima versione è aggiornata a gennaio 2020 ed entrerà in vigore a far tempo dal 2021.
In tale ambito è possibile ravvisare anche alcune indicazioni che riguardano specificatamente la
governance della gestione dei rischi. Più precisamente, l’ultima versione del codice di autodisciplina identifica gli organi che dovrebbero indirizzare e governare il processo di gestione dei rischi e attribuisce loro alcuni compiti.
Tali organi sono identificati nel CdA, nell’Amministratore incaricato del sistema di CIeGR (che coincide con il CEO) e, infine, nel Comitato CIeGR. In generale, questi dovrebbero: a) definire il livello di rischio compatibile con gli obiettivi strategici; b) individuare le linee di indirizzo del sistema di CIeGR; c) verificare che i rischi siano identificati, misurati, gestiti e monitorati; d) descrivere il sistema di CIeGR ed esprimere una valutazione circa la sua adeguatezza.
Più in particolare:
a) il CdA, con il supporto del Comitato CIeGR, dovrebbe:
definire la natura e il livello di rischio compatibile con gli obiettivi strategici dell’emittente, nell’ottica del successo sostenibile della società;
definire le linee di indirizzo del sistema di CIeGR in coerenza con le strategie della società e valutare, con cadenza almeno annuale, l’adeguatezza del medesimo sistema rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto;
descrivere, nella relazione sul governo societario, le principali caratteristiche del sistema di CIeGR e le modalità di coordinamento tra i soggetti in esso coinvolti, indicando i modelli e le best practice nazionali e internazionali di riferimento;
esprimere la propria valutazione complessiva sull’ adeguatezza del sistema stesso. b) Il CEO, nella sua funzione di Amministratore incaricato del sistema di CIeGR, dovrebbe:
curare l’identificazione dei principali rischi aziendali e sottoporli periodicamente all’attenzione del board;
dare esecuzione alle linee di indirizzo definite dall’organo di amministrazione, curando la progettazione, realizzazione e gestione del sistema di CIeGR e verificandone l’adeguatezza e l’efficacia;
15
riferire tempestivamente al Comitato CIeGR in merito a eventuali problematiche e criticità emerse nello svolgimento della propria attività.
c) Il Comitato CIeGR dovrebbe:
possedere nel suo complesso un’adeguata competenza nel settore di attività in cui opera la società e prevedere che almeno un suo componente possieda un’adeguata competenza in materia contabile e finanziaria o di gestione dei rischi;
esprimere pareri su specifici aspetti inerenti alla identificazione dei principali rischi e supportare le valutazioni del board relative alla gestione dei rischi derivanti da fatti pregiudizievoli;
riferire al CdA, almeno in occasione dell’approvazione della relazione finanziaria annuale e semestrale, sull’attività svolta e sull’adeguatezza del sistema di CIeGR;
Il codice di autodisciplina, dunque, identifica gli organi competenti e attribuisce loro talune responsabilità. Al tempo stesso, il codice lascia aperti diversi interrogativi. Non è, ad esempio, esplicitato il metodo mediante il quale gli organi preposti dovrebbero operare, così come non è chiaro su quali basi il sistema di CIeGR dovrebbe essere ritenuto “adeguato”.
Gli stessi estensori del codice di autodisciplina sembrano consapevoli di tali limiti, laddove invitano il lettore a trarre spunto dalle best practice esistenti in ambito nazionale e internazionale. Per tale motivo, di seguito viene proposta una breve sintesi di alcune possibili best practice che possono integrare e completare le indicazioni fornite dal codice. Si tratta, in particolare, dell’ultima versione del COSO Report (2017), dei princìpi internazionali stabiliti dal G20/OCSE e, infine, dall’esperienza che può essere tratta dai board delle banche.
1.2.2 Alcuni riferimenti e riflessioni ritraibili dal COSO Report 2017
Il titolo del COSO Report 2017 è “Enterprise Risk Management (ERM) integrating with strategy and performance”. Tale titolo è di per sé indicativo del messaggio che il documento intende veicolare e promuovere, ovvero una progressiva integrazione tra ERM, strategia e performance.
Come riportato nel paragrafo 1.1, il documento è articolato in cinque punti in cui sono enunciati venti princìpi. Il primo dei cinque punti, denominato “governance & culture” e articolato in cinque princìpi, è quello che riguarda più direttamente il board1. Per tale motivo merita un breve approfondimento.
In generale, tale punto sottolinea che il ruolo del board consiste nell’indirizzare e controllare il processo di gestione dei rischi implementato dal management. In tale ambito il board dovrebbe identificare una struttura operativa adeguata che, mediante management competente, implementa decisioni coerenti con la mission, i core values, il risk appetite, gli obiettivi strategici e la creazione di valore.
A tal fine, come anticipato, vengono identificati i seguenti cinque princìpi che rimarcano l’importanza della conoscenza e della diffusione della cultura del rischio:
1. Exercises Board Risk Oversight. Il board è chiamato a ricoprire, nel rispetto del requisito di indipendenza, un ruolo di supervisione dell’attività del management, per supportarlo nel raggiungere gli obiettivi strategici coerentemente con l’obiettivo della generazione di valore nel medio e lungo termine;
2. Establishes Operating Structures. Il board deve verificare che sia chiaramente definita la struttura operativa, ovvero lo strumento attraverso cui l’organizzazione può realizzare i suoi obiettivi. Devono pertanto essere ben definite le attività, le responsabilità, le risorse, i sistemi e le procedure per raggiungere gli obiettivi;
1 Gli altri quattro punti, che ricomprendono i residui quindici princìpi, sono così intitolati: strategy & objective
16
3. Defines Desired Culture. Il board deve promuovere la definizione e la diffusione della cultura dell’enterprise risk management, che può essere più o meno avversa al rischio. Tale cultura influenza le tecniche di identificazione del rischio, nonché i tipi di rischio che sono sopportati o trasferiti a terzi e, infine, le modalità di gestione dei rischi stessi;
4. Demonstrates commitment to core values. Il board deve verificare la presenza di un adeguato commitment rispetto ai valori e alla mission condivisi dal management e dai dipendenti;
5. Attracts, Develops, and Retains Capable Individual. Il board è chiamato a verificare la presenza delle competenze necessarie a implementare la strategia e a raggiungere gli obiettivi, in modo che il capitale umano diventi e rimanga un vantaggio competitivo.
Nella prospettiva del board, l’aspetto più rivoluzionario del COSOReport 2017 riguarda l’integrazione tra
risk appetite, strategia, governance e performance.
In tale ambito, l’identificazione del risk appetite riveste un ruolo centrale in quanto è il punto di partenza da cui derivano conseguenze significative per selezionare le strategie così come per indirizzare la
governance e la misurazione della performance aziendale.
Nel framework del COSOReport 2017, infatti, il risk appetite nasce prima delle strategie e, in particolare, è il setaccio con cui le strategie debbono essere selezionate.
Al tempo stesso, l’identificazione preliminare del risk appetite indirizza la governance perché induce a verificare come il rischio viene ripartito tra gli stakeholder che in varia misura lo sopportano (clienti, fornitori, dipendenti, investitori, ecc.).
Infine, identificare preliminarmente il risk appetite impatta la misurazione della performance perché obbliga a verificare ex ante l’attitudine dell’azienda a remunerare adeguatamente il rischio sopportato da ciascuno stakeholder. Remunerare adeguatamente gli stakeholder è il presupposto per preservare/creare valore economico sostenibile nel tempo, nel rispetto dei valori ambientali/sociali adottati spontaneamente dall’azienda e/o imposti dagli stessi stakeholder.
In ultima analisi, il COSOReport 2017 costituisce un utile complemento del codice di autodisciplina in quanto induce il board e il comitato CIeGR a farsi promotori di un progressivo miglioramento culturale e, in particolare, a verificare:
a) se le indicazioni necessariamente generali del codice di autodisciplina sono tradotte in decisioni concrete che siano ispirate al COSOReport 2017 ma anche adeguate rispetto alla governance e alle caratteristiche dimensionali e settoriali dell’azienda;
b) se e come l’azienda ha identificato il suo risk appetite e come esso viene declinato ai vari livelli dell’organizzazione, ovvero come viene utilizzato nella selezione delle decisioni strategiche e operative;
c) come il rischio è ripartito tra gli stakeholder e se esso è remunerato adeguatamente. In effetti, questa verifica non può che essere effettuata dal board e deve essere ispirata al requisito della indipendenza;
d) se la mappatura dei rischi è organizzata in modo da assegnare una priorità alle varie tipologie di rischi in relazione alla loro attitudine a influire sul risk appetite e sulla realizzabilità degli obiettivi strategici, economici, reputazionali e di sostenibilità;
e) se la cultura del rischio è coerente con la mission, i valori e l’obiettivo della creazione di valore sostenibile nel tempo;
f) se l’azienda promuove o meno un progressivo upgrading della cultura aziendale e delle figure professionali che possono supportare il CEO nell’allineamento alla best practice. Nell’ambito del COSO Report 2017 è ormai infatti evidente che le tradizionali competenze di internal auditing e
17
di risk management meritano di essere integrate con la conoscenza del business, della
governance, della strategia e della finanza;
g) se e come la cultura del rischio viene recepita negli schemi di remunerazione del management.
1.2.3 I principi internazionali stabiliti dal G20/OCSE
Il consiglio di amministrazione è l’organo centrale del sistema di corporate governance ed è stato investito nel tempo di funzioni e doveri crescenti in materia di governo e controllo dei rischi.
Tale organo è il primo, e ultimo, responsabile del disegno e del corretto funzionamento del sistema di controllo interno e gestione dei rischi. Per altro verso, proprio questo sistema rappresenta il principale strumento a disposizione del board per l’efficace svolgimento della funzione di supervisione strategica e per la qualificazione e il monitoraggio della corretta esecuzione delle strategie, nell’interesse di lungo periodo dell’impresa e di tutti i suoi stakeholder.
I principi internazionali, stabiliti dall’OCSE in accordo con il G20 (OECD, 20152), stabiliscono che il
sistema di corporate governance deve assicurare la conduzione strategica dell’impresa, l’efficace controllo da parte del board sull’andamento della gestione e l’accountability del consiglio nei confronti della società e dei relativi azionisti. A tal fine, gli amministratori, agendo in buona fede e in modo diligente e informato, prendono decisioni che rispettano principi etici e tengono in debita considerazione gli interessi degli stakeholder rilevanti per l’impresa.
Le condizioni necessarie affinché l’organo sia in grado di svolgere tale ruolo in modo efficace riguardano innanzitutto i relativi profili di composizione, organizzazione e funzionamento. In particolare, i principi G20/OCSE ritengono fondamentale che gli amministratori siano in grado di esprimere valutazioni e deliberazioni in modo indipendente e obiettivo rispetto alle proposte e alle azioni del management, prevenendo conflitti di interesse che possano andare a detrimento dell’impresa nel suo complesso. Ciò presuppone, in termini di composizione del board, che:
- vi sia un numero sufficiente di amministratori esterni al nucleo degli azionisti di controllo e del
management (c.d. “outsider”), meglio se indipendenti, ossia privi di relazioni personali o professionali con la società e i relativi azionisti ed esponenti, che potrebbero comprometterne l’obiettività di giudizio;
- i ruoli di presidente e amministratore delegato siano separati; - il presidente sia assistito da un segretario del consiglio.
In particolare, la condizione di indipendenza, che non può ovviamente prescindere da una adeguata professionalità, contribuisce alla qualità delle decisioni prese dal board. Gli indipendenti portano un punto di vista autonomo e terzo nella valutazione delle performance del consiglio e del management. Essi sono, inoltre, nelle condizioni di svolgere un ruolo fondamentale nelle questioni in cui interessi del
management, dell’impresa e dei suoi azionisti possono divergere, come le remunerazioni degli esecutivi, i piani di successione, le operazioni straordinarie e i controlli interni. La determinazione dei requisiti che qualificano l’indipendenza è stabilita, per alcune società (quotate, banche e intermediari finanziari), da codici o normative, mentre per altre può essere inclusa negli statuti. Spetta comunque al consiglio valutarne il possesso da parte dei singoli amministratori, al momento dell’assunzione dell’incarico e poi su base periodica.
In termini di organizzazione, i princìpi suggeriscono la costituzione di comitati endoconsiliari, con funzioni propositive, consultive e istruttorie, per la trattazione di temi potenzialmente oggetto di conflitti di interesse fra stakeholder (remunerazioni, nomine, controllo, risk management, sostenibilità). In tale ambito, il comitato, o i comitati, incaricati del presidio di controlli e rischi, supportano il consiglio nell’istruttoria relativa a questi temi, tramite una interlocuzione diretta e approfondita con il
management e le funzioni aziendali di controllo.
2 OECD (2015), G20/OECD Principles of Corporate Governance, OECD Publishing, Paris.
18
Quanto al funzionamento dell’organo, i princìpi G20/OCSE sottolineano l’importanza di favorire l’accesso del board a una informativa accurata, rilevante e tempestiva sull’andamento della gestione e sui temi oggetto di trattazione e delibera nelle sedute. Non è solo importante che il consiglio disponga di una adeguata quantità di informazioni, ma anche che questa sia trasparente, completa e rilevante, ossia presentata in modo tale da consentire una preparazione efficace e una chiara individuazione degli aspetti critici, meritevoli di discussione. Così, ad esempio, in tema di rischi, è fondamentale che il consiglio sia messo a conoscenza delle ipotesi di scenario sottostanti ai modelli di valutazione, della qualità dei dati utilizzati per la loro costruzione, del significato strategico e gestionale delle misure e dei relativi valori. Il board deve assicurarsi che siano identificati tutti i rischi connessi con il business e che le strategie di mitigazione siano tali da consentire alla società di perseguire i propri obiettivi, mantenendo il profilo di rischio a un livello coerente con la propensione al rischio (risk appetite) desiderata.
La valutazione dei rischi, così come altri temi di competenza del consiglio, può richiedere competenze specifiche, che devono essere garantite in seno al board anche con opportuni interventi di induction e di formazione continua.
In ultima analisi, i principi internazionali stabiliti dal G20/OCSE propongono indicazioni allineate a quelle del codice di autodisciplina, con particolare riferimento al prerequisito della indipendenza dei consiglieri e all’opportunità di costituire appositi comitati endoconsiliari, quali ad esempio il CIeGR. Un aspetto enfatizzato dai princìpi internazionali, che meriterebbe di essere valutato con attenzione nelle imprese non finanziarie, riguarda la qualità delle informazioni, con particolare riguardo agli scenari sottostanti i modelli di identificazione e valutazione dei rischi connessi al business.
1.2.4 L’esperienza dei board bancari: lessons to learn
I principi sopra esposti hanno ispirato e trovano ora una dettagliata rappresentazione nella normativa bancaria in tema di governo societario (Direttiva CRD IV, Linee Guida dell’Autorità Bancaria Europea, Circolare Banca d’Italia 285/13, Titolo IV, Capitoli 1 e 3). Fatte salve le particolari finalità di tali norme, che riflettono l’interesse pubblico nei confronti dell’attività delle banche e l’importanza di assicurare la sana e prudente gestione delle stesse a tutela della stabilità dell’intero sistema economico-finanziario, il grado di dettaglio della disciplina bancaria contribuisce a chiarire e fornire spunti ulteriori sulle modalità di declinazione e di interpretazione dei principi più generali nelle singole realtà aziendali. La revisione normativa introdotta dopo la crisi finanziaria, inoltre, ha accentuato l’attenzione sul governo dei rischi alla luce delle carenze rilevate e considerate fra le cause della crisi stessa, e fornisce quindi importanti indicazioni ai fini di un corretto presidio dei processi di risk management, sia in chiave strategica e gestionale, sia nell’ottica della prevenzione di situazioni di dissesto. L’azione, sempre più pervasiva e costante nel tempo, dei supervisori (Banca Centrale Europea per le banche rilevanti e Banca d’Italia per le altre) contribuisce a rappresentare in modo concreto le attese nei confronti degli organi aziendali in merito alle modalità con cui gli stessi dovrebbero applicare la normativa di riferimento. Quali indicazioni dunque dovrebbero utilmente trarre le imprese non finanziarie dall’esperienza bancaria?
In primo luogo, alcune regole generali e imprescindibili per una buona governance dei rischi. Esse riguardano: la chiara distinzione dei ruoli e delle responsabilità (ispirata al principio del “check and balance”), inclusa la determinazione analitica, precisa e chiara delle deleghe, anche nell'indicazione dei limiti quantitativi o di valore e delle eventuali modalità di esercizio; l’appropriato bilanciamento dei poteri; l’equilibrata e diversificata composizione degli organi, inclusa la presenza di un numero adeguato di amministratori indipendenti; l’efficacia dei controlli; il presidio di tutti i rischi aziendali; l’adeguatezza dei flussi informativi.
In particolare, è stabilito nella normativa che gli organi aziendali devono assicurare il governo di tutti i rischi a cui la banca si espone, individuandone per tempo le fonti, le possibili dinamiche, i necessari presidi. Ciò significa che gli amministratori devono:
- avere una competenza tale da comprendere i modelli di misurazione e gestione dei rischi, i relativi profili regolamentari e applicativi;
19
- avere piena consapevolezza del sistema di governance e dell’organizzazione della società e del gruppo di riferimento (c.d. principio del “know your structure”), al fine di saper individuare le fonti specifiche di rischio nei singoli processi e nelle diverse attività svolte;
- impegnarsi attivamente nella preparazione e nello svolgimento delle attività consiliari, favorendo un confronto costruttivo (“challenge”) con il management, tramite un dibattito vivace che consente la messa a fattor comune delle esperienze, anche maturate dai singoli al di fuori del contesto specifico, ai fini della presa di buone decisioni.
Al fine di garantire l’efficace svolgimento dei lavori del board, il Presidente, che nelle banche ha il divieto di assumere funzioni esecutive, deve garantire l’equilibrio di poteri rispetto all'amministratore delegato e agli altri amministratori esecutivi. Il Presidente promuove l’effettivo funzionamento del sistema di governo societario anche determinando l’agenda delle riunioni in modo tale da garantire che vi sia tempo sufficiente per la trattazione dei temi strategici.
Egli favorisce, in modo neutrale, la cultura del dibattito durante le sedute, stimolando la dialettica tra componenti esecutivi e non esecutivi e sollecitando la partecipazione attiva dei componenti non esecutivi; inoltre, promuove occasioni di scambio e confronto fra gli amministratori anche al di fuori delle stesse, ad esempio organizzando incontri off-site, per approfondire e confrontarsi sulle questioni strategiche, riunioni monotematiche su argomenti rilevanti, sessioni di induction, formative e informative, che consentano l’allineamento progressivo e il necessario aggiornamento delle competenze. Il Presidente inoltre coordina un processo di autovalutazione annuale del board e degli eventuali comitati consiliari, dal quale trae stimoli per il continuo miglioramento dell’efficacia del sistema di governance.
Non vi è dubbio che nella regolamentazione bancaria l’attenzione sia posta soprattutto sulla funzione di supervisione e controllo in capo al consiglio di amministrazione, volta a garantire il regolare svolgimento della gestione e a prevenire assunzione di rischio eccessivo rispetto alle capacità di governo dell’azienda. A tal fine, è considerato fondamentale che le funzioni aziendali di controllo (internal auditing, risk management, compliance, antiriciclaggio, dirigente preposto, etc.) abbiano una relazione diretta con gli organi e non mediata dall’amministratore delegato o dall’eventuale comitato esecutivo. L’attività di nomina e revoca dei responsabili delle funzioni di internal auditing, di compliance e di risk management rientra tra le funzioni non delegabili dal consiglio. Inoltre, il board deve approvare i piani di attività pluriennali e annuale, monitorarne la regolare implementazione e ottenere una reportistica tempestiva in merito agli esiti delle verifiche svolte e alle rispettive azioni di rimedio. Il consiglio deve inoltre esprimere, su base semestrale o annuale, una propria valutazione in merito alla completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema dei controlli interni e di gestione dei rischi. In tema di rischi, il consiglio di amministrazione ha la responsabilità di definire e approvare il quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework - “RAF”) che caratterizza i piani strategici, le politiche di governo dei rischi, i processi di gestione dei rischi. Questi devono coprire tutti i rischi legati al business bancario, dai rischi di credito, di mercato, operativo, ai rischi di liquidità, di tasso di interesse, e rischi meno facilmente misurabili come quello reputazionale, strategico, legato ai processi IT (incluso il rischio cyber), di compliance, di condotta, e altri già in parte individuati nei testi normativi. Inoltre, ciascuna nuova linea strategica, incluso il lancio di nuovi prodotti, l’ingresso in nuovi mercati, cambiamenti organizzativi e operazioni straordinarie, deve essere valutata rispetto ai profili di rischio, anche nuovi, che la caratterizzano, alla capacità dei controlli interni di presidiare tali rischi, e alla relativa compatibilità con la propensione al rischio deliberata dal consiglio. La circolazione di informazioni tra gli organi sociali e all’interno degli stessi rappresenta una condizione imprescindibile affinché siano effettivamente realizzati gli obiettivi di efficienza della gestione dei rischi ed efficacia dei controlli. Le banche devono porre specifica cura nello strutturare forme di comunicazione e di scambio di informazioni complete, tempestive e accurate tra gli organi, in relazione alle competenze di ciascuno di essi, nonché all’interno di ciascun organo; presidi organizzativi sono approntati per evitare il rischio di divulgazione impropria di notizie riservate. La predisposizione di flussi informativi adeguati e in tempi coerenti con la rilevanza e la complessità delle decisioni da assumere è necessaria anche per la piena valorizzazione dei diversi livelli di responsabilità all’interno dell’organizzazione aziendale. Tali esigenze sono coerenti con le previsioni civilistiche in tema di: competenza esclusiva degli amministratori per la gestione aziendale; dovere di "agire in modo informato"; informativa periodica al
20
consiglio da parte degli organi delegati; diritto degli amministratori di avere dagli organi delegati informazioni sulla gestione della società.
Il principio di tracciabilità dei processi decisionali, che permea la normativa bancaria, richiede che flussi informativi, procedure, metodi di lavoro, tempistiche delle riunioni siano adeguatamente formalizzati in regolamenti e procedure e che l’operato del consiglio, incluso il dibattito che porta alle delibere finali, sia chiaramente ricostruibile dai verbali delle sedute.
Assumono quindi particolare rilievo l’individuazione e la formalizzazione di prassi operative (procedure di convocazione, periodicità delle riunioni, partecipazione) che assicurino effettività e tempestività all’azione degli organi e dei loro comitati.
Nelle banche di maggiori dimensioni o complessità operativa, è necessario che siano costituiti tre comitati endoconsiliari, specializzati in tema di “nomine”, “rischi” e “remunerazioni”. Ciascun comitato è composto, di regola, da 3-5 membri, tutti non esecutivi e in maggioranza indipendenti; ove sia presente un consigliere eletto dalle minoranze, esso fa parte di almeno un comitato. I comitati devono distinguersi tra loro per almeno un componente. I lavori di ciascun comitato sono coordinati da un presidente scelto tra i componenti indipendenti.
In particolare, il comitato rischi, competente in tema di rischi e controlli, deve prestare particolare attenzione a tutte quelle attività strumentali e necessarie affinché il board possa determinare in modo corretto il RAF, le politiche di governo dei rischi e l’assetto adeguato del sistema organizzativo e di controllo interno. A tale scopo, ad esempio, il comitato, al fine di formulare proposte o pareri e rendicontare al board:
- condivide e propone in approvazione al board i piani di attività delle funzioni aziendali di controllo e ne monitora lo stato di avanzamento;
- esamina la reportistica predisposta dalle funzioni aziendali di controllo;
- analizza e monitora le criticità rilevate a seguito degli interventi effettuati e valuta l’adeguatezza, l’efficacia e il funzionamento delle azioni di rimedio;
- esamina la proposta di RAF connessa con il piano strategico e i piani annuali e monitora, almeno su base trimestrale, il profilo di rischio rispetto agli obiettivi di risk appetite;
- esamina il processo di determinazione dell’adeguatezza del capitale rispetto ai rischi assunti, e della situazione di liquidità;
- analizza e valuta i modelli di misurazione dei singoli rischi e la qualità delle informazioni e dei dati sottostanti, nonché i risultati delle attività di validazione interna e di revisione;
- analizza in dettaglio e valuta le politiche di svalutazione dei crediti e delle altre voci rilevanti ai fini di impairment;
- sulla base delle informazioni acquisite anche direttamente dai revisori contabili, acquisisce e analizza la valutazione del Dirigente Preposto alla redazione dei documenti contabili societari sul corretto utilizzo dei principi contabili e sulla loro applicazione nella predisposizione del progetto di bilancio e nell’informativa periodica;
- analizza le politiche e i processi di valutazione delle attività aziendali, inclusa la verifica che i prezzi e le condizioni delle operazioni con la clientela siano coerenti con il modello di business e le strategie in materia di rischi;
- valuta le prestazioni annuali delle funzioni aziendali di controllo e dei relativi responsabili; - accerta che gli incentivi sottesi al sistema di remunerazione e incentivazione della banca siano
coerenti con il RAF.
Dato l’elevato tecnicismo che caratterizza la misurazione e la gestione dei rischi in ambito bancario, la presenza del comitato è di fondamentale importanza affinché i singoli temi siano indirizzati e approfonditi in modo adeguato e gli amministratori possano interloquire con i manager competenti per
